信息安全和风险管理-CTEC-7799讲座146课件

信息安全和风险管理

－7799标准与实施信息安全和风险管理

－7799标准与实施1概述PartI什么是信息安全？PartII什么是风险和风险管理PartIII什么是7799？PartIV如何获得7799认证？概述PartI什么是信息安全？2PartI

什么是信息安全PartI

什么是信息安全31-1看待信息安全的各种思路需求状态结果功能过程能力1-1看待信息安全的各种思路需求4对信息安全的各种思路需求信息系统乃至信息化社会的需要状态对应于信息不安全。难于描述。结果对应于人们的努力。表面看只有两个结果：出事和不出事。对信息安全的各种思路需求5对信息安全的各种思路功能应用和实现的各种安全功能（产品）。比如：访问控制（防火墙）、审计跟踪（IDS）等过程对应于人们努力的内容和时间。能力对应于努力的综合实力对信息安全的各种思路功能6信息安全的三个方面需求保密性——信息的机密性完整性——信息的完整性、一致性可用性——行为完整性、服务连续性信息安全的经典定义

－需求角度信息安全的三个方面需求信息安全的经典定义

－需求角度7安全需求的多样性6项安全要求CIARAA(ISO13335)保密性Confidentiality完整性Integrity可用性Availability可靠性Reliability认证性Authenticity审计性Accountability安全需求的多样性6项安全要求CIARAA(ISO133358信息安全需求的演变？信息保密信息保密信息完整信息和系统可用信息保密信息完整信息和系统可用信息和系统可控信息行为不可否认80年代的认识90年代的认识90年代后期的认识信息安全需求的演变？信息保密信息保密信息完整信息和系统可用信9最权威的传统评估标准美国国防部在1985年公布可信计算机安全评估准则TrustedComputerSecurityEvaluationCriteria(TCSEC)为安全产品的测评提供准则和方法指导信息安全产品的制造和应用最权威的传统评估标准美国国防部在1985年公布10可信计算机系统安全等级可信计算机系统安全等级11传统评估标准的演变美国DoD85TESECTCSEC网络解释（TNI1987）TCSEC数据库管理系统解释（TDI1991）欧洲–ITSEC美国、加拿大、欧洲等共同发起CommonCriteria(CC)传统评估标准的演变美国12ReferenceMonitorReferenceMonitor主体客体控制规则ReferenceMonitorReference主体客体13主要传统安全技术操作系统访问控制网络访问控制（防火墙）加密（对称、非对称）身份认证（口令、强认证……）……主要传统安全技术操作系统访问控制14VRMTCSEC认为，一个安全机制的三个基本要求：不可旁路不可篡改足够小，可以被证明VRMTCSEC认为，一个安全机制的三个基本要求：15RM传统安全理念和技术的局限适合于主机/终端环境，对网络环境难于适应系统和技术的发展太快，安全技术跟进困难没有研究入侵者的特点和技术……ReferenceMonitor主体客体控制规则RM传统安全理念和技术的局限适合于主机/终端环境，对网络环境16UNIXFirewallE-MailServerWebServerRouterNTClients&WorkstationsNetworkUNIXNTUNIXimapCrackNetBus典型的攻击过程UNIXE-MailServerWebServerRou171-3P2DR安全模型动态安全模型可适应网络安全模型1-3P2DR安全模型动态安全模型18P2DR安全模型动态/可适应安全的典范P2DR安全模型动态/可适应安全的典范19什么是安全？新的定义什么是安全？新的定义20安全——及时的检测和处理时间PtDtRt安全——及时的检测和处理时间PtDtRt21什么是安全？PtDtRt>+什么是安全？PtDtRt>+22P2DR安全模型动态模型基于时间的模型可以量化可以计算P2DR安全模型动态模型23P2DR的核心问题是检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实、强制执行安全策略的有力工具最重要的检测技术漏洞扫描入侵检测IDSP2DR安全的核心安全策略防护

检测响应P2DR的核心问题是检测P2DR安全的核心安全防护24PDR理念的不足缺少管理环节的描述和表达因此，才有Policy环节的引入实用的时间很难测量时间计算的算法非常复杂和不确定PDR理念的不足缺少管理环节的描述和表达25PDR的时间计算目标起点Pt(A)Pt(B)Pt(C)Pt(D)Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D)PDR的时间计算目标起点Pt(A)Pt(B)Pt(C)Pt(26PDR的时间计算目标起点Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re))RaRbRcRdRePDR的时间计算目标起点Pt(System)=Minimum27PDR的时间计算目标起点Pt(System)=?新的攻击手法PDR的时间计算目标起点Pt(System)=?新的攻击手法28PDR的时间计算目标起点新的攻击手法PDR的时间计算目标起点新的攻击手法291-4我们应当期待什么效果？1-4我们应当期待什么效果？30目前普遍应用的信息安全技术访问控制操作系统访问控制网络防火墙病毒防火墙审计跟踪IDS漏洞扫描日志分析加密存储和备份鉴别和认证PKI和CA双因子认证生物认证……目前普遍应用的信息安全技术访问控制加密31信息安全问题的难点超复杂性牵扯很多技术环节涉及大量的管理问题涉及人的因素……工程方法信息安全问题的难点超复杂性工程方法32最成熟的“工程”方法风险管理风险评估风险控制和监控信息安全管理系统ISMS管理驱动技术最成熟的“工程”方法风险管理33PartII

什么是风险和风险管理PartII

什么是风险和风险管理34什么是风险？风险：对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。Risk thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.-AS/NZS4360:2019《风险管理》什么是风险？风险：35什么是风险风险：指定的威胁利用单一或一群资产的脆弱点造成资产的损失或损坏的潜在的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.-ISO/IECTR13335-1:2019什么是风险风险：指定的威胁利用单一或一群资产的脆弱点造成资产36ISO15408安全模型ISO/IEC15408-1安全概念和关系模型所有者威胁主体对策漏洞风险威胁资产ISO15408安全模型ISO/IEC15408-1安全37模型的对抗特性所有者攻击者对策漏洞风险威胁资产模型的对抗特性所有者攻击者对策38模型的动态性和风险性所有者攻击者对策漏洞风险威胁资产模型的动态性和风险性所有者攻击者对策39模型的资产属性所有者攻击者对策漏洞风险威胁资产模型的资产属性所有者攻击者对策40风险避免vs风险管理风险避免构建一个一次性的防御体系。它必须足够强壮以抵挡各种威胁。它可能是没有弹性而且非常昂贵的。风险管理动态的，可以持续不断地适应威胁的变化。构建的防御体系仅仅采用适度的措施去保护有价值的资产，阻止进一步的损失，有效地给予恢复。只购买你需要的，而不是你可能需要的。但是特别需要有效的管理。风险避免vs风险管理风险避免41风险管理的关系图风险管理的关系图42ISO13335以风险为核心的安全模型风险防护措施信息资产威胁漏洞防护需求降低增加增加利用暴露价值拥有抗击增加引出被满足ISO13335以风险为核心的安全模型风险防护措施信息资产威437799对信息资产的看法“Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganisationandconsequentlyneedstobesuitablyprotected.”“信息是一种资产，象其他重要的商务资产一样，对组织具有价值，因此需要适当的保护。7799对信息资产的看法“Informationisan44风险管理的核心理念资产保护风险管理的核心理念资产保护45什么是风险管理？对潜在机会和不利影响进行有效管理的文化、程序和结构风险管理是由多个定义明确的步骤所组成的一个反复过程，这些步骤以较深入的洞察风险及其影响为更好的决策提供支持什么是风险管理？对潜在机会和不利影响进行有效管理的文化、程序46风险管理的组成要素建立环境鉴别风险分析风险评价风险处理风险信息交流与咨询监控与审查－AS/NZS4360风险管理的组成要素建立环境鉴别风险分析风险评价风险处理风险－47风险管理的组成要素1、建立环境建立在风险管理过程中将出现的策略、组织和风险管理的背景。应建立对风险进行评价的推测、并规定分析的结构。2、鉴别风险鉴别出会出现什么事，为什么会出现和如何出现，作为进一步分析的基础风险管理的组成要素1、建立环境48风险管理的组成要素3、分析风险确定现有的控制，并根据在这些控制的环境中的和可能性对风险进行分析。这种分析应考虑到潜在后果的范围和这些后果发生的可能性有多大。可将后果和可能性结合起来得到一个估计的风险程度。4、评价风险将估计的风险程度与预先建立的水准进行比较。这样可将风险按等级排列，以便鉴别管理的有限顺序。如果建立的风险程度很低，此时的风险可以列入可接受的范畴，而不作处理。风险管理的组成要素3、分析风险49风险管理的组成要素5、处理风险接受并监控低优先级的风险。对于其他风险，则建立并实施一个特定管理计划，其中包括考虑到资金的提供。6、监控和审查对于风险管理系统的运作情形以及可能影响其运作的那些变化进行监控和审查7、信息交流和咨询在风险管理过程的每个阶段以及整个过程中，适时与内部和外部的风险承担者（stakeholder）进行信息交流和咨询。风险管理的组成要素5、处理风险50风险管理的主要部分风险评估RiskAssessment风险控制（处理）RiskControl风险管理的主要部分风险评估51风险评估风险评估52风险评估报告资产鉴别报告漏洞报告威胁报告风险报告 Risk=f(Asset,Vul,Threat)风险评估报告资产鉴别报告53风险体风险体54安全要素关系图安全要素关系图55PartIII

什么是7799PartIII

什么是779956信息安全管理标准BS7799/ISO17799信息安全管理纲要、指南

PartI:Codeofpracticeforinformationsecuritymanagement信息安全管理认证体系 PartII:Specificationforinformationsecuritymanagement信息安全管理标准BS7799/ISO1779957信息安全管理标准－BS7799/ISO17799

英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。1993年，BS7799标准由英国贸易工业部立项2019年，BS7799-1：2019《信息安全管理实施细则》2019年，BS7799-2：2019《信息安全管理体系规范》2019年，对BS7799-1：2019及BS7799-2：2019重新修订发布2000年，以标准ISO/IEC17799发布

信息安全管理标准－BS7799/ISO17799英国标58BS7799和ISO17799的区别BS7799英国标准已被多个国家认同（如澳大利亚等）第二部分是可认证标准2019年新修订了第2部分。新版本风格接近ISO9000和ISO14000。ISO177992000年采纳了BS7799的第一部分第二部分还在讨论中BS7799和ISO17799的区别BS7799ISO17759BS7799-2:2019BS7799-2:201960BS7799/ISO17799安全策略安全组织资产分类及控制人员安全物理和环境安全通信和运作管理系统访问控制系统开发与维护业务连续性规划符合性信息安全管理纲要CodeofpracticeforinformationsecuritymanagementBS7799/ISO17799安全策略通信和运作管理信61“Notallthecontrolsdescribedwillberelevanttoeverysituation,norcantheytakeaccountoflocalenvironmentalortechnologicalconstraints,orbepresentinaformthatsuitseverypotentialuserinanorganisation.”

“不是所有描述的控制措施与所有情况有关，这些控制措施也没有考虑地方的环境和技术限制，或以适用于任何一个组织中的潜在的使用者的形式展现。BS7799-1:2000包含：36个控制目标和127个控制措施Controlobjectivesandcontrols

控制目标和控制措施“Notallthecontrolsdescribe62Keycontrols关键控制措施BS7799identifies8controlsas–BS7799识别8个控制措施作为-“…guidingprinciplesprovidingagoodstartingpointforimplementinginformationsecurity.”“指导原则提供最佳的实施信息安全的起始点”“Theyareeitherbasedonessentiallegislativerequirementsorconsideredtobecommonbestpracticeforinformationsecurity.”“他们或是建立在基本的法律要求或被认为是公认信息安全的最佳实践”Keycontrols关键控制措施BS7799iden63Intellectualpropertyrights知识产权保护Safeguardingoforganisationalrecords保护组织的记录Dataprotectionandprivacyofpersonalinformation数据保护和个人信息隐私Controlswithlegislativeimplications

与法律有关的控制措施IntellectualpropertyrightsC64Objective–目标Toavoidbreachesofcopyrightthroughpreventionofcopyingwithoutowner’sconsent.防止未经拥有者允许的复制，避免违反产权保护 Restrictionsoncopying限制复制 Licenceagreements许可协议 Policycompliance符合方针Contractrequirements合同要求Intellectualpropertyrights

知识产权Objective–目标Intellectualpro65Objective–目标Preventionofloss,destructionandfalsificationofimportantrecords.防止丢失，破坏和篡改重要的记录Retention保持Storage储存Disposal处置Safeguardingoforganisationalrecords

保护组织记录Safeguardingoforganisational66Objective–目标Compliancewithanydataorinformationprotectionlegislationinthosecountrieswhereapplicable.如果适用，符合所在国家的任何信息保护法律。Dataprotectionandprivacyofpersonalinformation数据保护和个人信息隐私Objective–目标Dataprotectiona67Informationsecuritypolicydocument信息安全方针文件Allocationofinformationsecurityresponsibilities落实信息安全责任Informationsecurityeducationandtraining信息安全教育与培训Reportingsecurityincidents安全事故汇报Businesscontinuitymanagement业务连续性管理Controlsforcommonbestpractice

与公认最好实践有关的控制措施Informationsecuritypolicydo68Objective–目标Toprovidemanagementdirectionandsupportforinformationsecurity.提供管理方向和支持信息安全。

PolicyDocumentInformationsecuritypolicydocument

信息安全方针文件Objective–目标PolicyDocumentIn69Objective–目标Toassignresponsibilitiesforsecuritysothatsecurityiseffectivelymanagedwithintheorganisation.分配安全责任使安全在组织中得到有效管理。Responsibilities责任Owners拥有者Roles角色Allocationofinformationsecurityresponsibilities

落实信息安全责任Objective–目标Allocationofin70Objective–目标Toensureusersareawareofinformationsecuritythreatsandconcernsandareequippedtosupportorganisationalsecuritypolicy.保证使用者明白信息安全的威胁和应考虑的问题并准备支持组织的安全方针。Trainingneedsandawareness培训需要和基本知识Informationsecurityeducationandtraining

信息安全教育与培训Objective–目标Informationsecu71Objective-目标Tominimizethedamagefromsecurityincidentsandmalfunctionsandtomonitorandlearnfromsuchincidents.减少安全事故和故障的损失，监控并从事故中学习。Definition定义Procedure程序Reportingsecurityincidents

安全事故汇报Objective-目标Reportingsecurity72Objective–目标Tocounteractinterruptionstobusinessactivitiesandtoprotectcriticalbusinessprocessesfromtheeffectsofmajorfailuresordisasters。防止业务活动中断和保护关键业务过程不受关键故障和灾害的影响。 Keystepstobusiness continuity业务连续性的关键步骤

Businesscontinuitymanagement

业务连续性管理Objective–目标Businesscontinui73OverviewofcontrolsfromBS7799:2019

BS7799:2019控制措施概述(ClausenumbersrefertoBS7799-1:2019)（条款号对应于BS7799-1:2019的条款号）OverviewofcontrolsfromBS77743.Securitypolicy安全方针3.1 Informationsecuritypolicy信息安全方针3.Securitypolicy安全方针3.1 Inf753.1 Informationsecuritypolicy

信息安全方针

InformationsecuritypolicydocumentReviewandevaluation信息安全方针文件评审与评估PolicySdjndkjhkjhkjfdfSdfkjflkjflkjlfklkfEdkjfjffkflkjflRgjlkmblktmglRgl,,g;ggk,glgglklkglFdglgrfrerfkjhnertm5pokFkkjj5tk55okdfgngngggmgmgkmgkmgg3.1 Informationsecuritypolic764.Securityorganisation

安全组织4.1 Informationsecurityinfrastructure信息安全基础设施4.2 Securityofthirdpartyaccess第三方访问安全4.3 Outsourcing 外包4.Securityorganisation

安全组织774.1 Informationsecurityinfrastructure

信息安全基础设施Managementinformationsecurityforum信息安全管理委员会Informationsecurityco-ordination信息安全协作Allocationofinformationsecurityresponsibilities落实信息安全责任Authorisationprocessforinformationprocessingfacilities信息处理设施授权过程Specialistinformationsecurityadvice信息安全专家建议Co-operationbetweenorganisations组织间的合作Independentreviewofinformationsecurity独立评审信息安全4.1 Informationsecurityinfra784.2 Securityofthirdpartyaccess

第三方访问安全Identificationofrisksfromthirdpartyaccess识别第三方访问风险Securityrequirementsinthirdpartycontracts第三方合同的安全要求4.2 Securityofthirdpartyac794.3 Outsourcing外包Securityrequirementsinoutsourcingcontracts外包合同中的安全要求OutsourcingContract4.3 Outsourcing外包Securityrequ805.Assetclassificationandcontrol

资产分类和控制5.1 Accountabilityforassets资产责任5.2 Informationclassification信息分类5.Assetclassificationandco815.1 Accountabilityforassets资产责任Inventoryofassets资产目录5.1 Accountabilityforassets资825.2 Informationclassification

信息分类Classificationguidelines分类指南Informationlabellingandhandling信息标签和处理TopSecretSecretConfidentialRestrictedRestricteduntil1/1/2019“ProtectivelyMarked”5.2 Informationclassification836.Personnelsecurity

人员安全6.1 Securityinjobdefinitionandresourcing在工作描述和配备资源时考虑安全问题6.2 Usertraining

使用者培训6.3 Respondingtosecurityincidentsandmalfunctions

响应安全事故和故障

6.Personnelsecurity

人员安全6.1 846.1 Securityinjobdefinitionandresourcing

在工作描述和配备资源时考虑安全问题

Includingsecurityinjobresponsibilities在工作责任中包括安全问题Termsandconditionsofemployment聘用条件和合同Personnelscreeningandpolicy人事审查和方针Confidentialityagreements保密协议6.1 Securityinjobdefinition856.2 Usertraining使用者培训Informationsecurityeducationandtraining信息安全教育和培训6.2 Usertraining使用者培训Informat866.3 Respondingtosecurityincidentsandmalfunctions

响应信息安全事故和故障Reportingsecurityincidents安全事故报告Reportingsecurityweaknesses安全弱点报告Reportingsoftwaremalfunctions软件故障报告Learningfromincidents从事故中学习Disciplinaryprocess惩罚过程6.3 Respondingtosecurityinc877.Physicalandenvironmentalsecurity

物理和环境安全7.1 Secureareas安全区域7.2 Equipmentsecurity设备安全7.3 Generalcontrols一般控制措施7.Physicalandenvironmental887.1 Secureareas安全区域Physicalsecurityperimeter物理安全边界Physicalentrycontrols物理入口控制Securingoffices,roomsandfacilities办公室，房间和设施保安Workinginsecureareas在安全区域工作Isolateddeliveryandloadingareas运送和装卸区域隔离I.D.7.1 Secureareas安全区域Physical897.2 Equipmentsecurity设备安全Equipmentsitingandprotection设备安装与保护Powersupplies电力供应Cablingsecurity电缆安全Equipmentmaintenance设备维护Securityofequipmentoff-premises不在办公场所的设备Securedisposalorre-useofequipment处置和重新使用设备的安全7.2 Equipmentsecurity设备安全Equi907.3 Generalcontrols一般控制Cleardeskandclearscreenpolicy桌面和屏幕清理政策Removalofproperty财产移动7.3 Generalcontrols一般控制Clear918.Communicationsandoperationsmanagement

通信和运营管理8.1 Operationalproceduresandresponsibilities

操作程序和责任8.2 Systemplanningandacceptance

系统计划和接收8.3 Protectionagainstmalicioussoftware

恶意软件防护8.4 Housekeeping

内务管理8.5 Networkmanagement 网络管理8.6 Mediahandlingandsecurity 媒体处理与安全8.7 Exchangesofinformationandsoftware 信息交换和软件8.Communicationsandoperatio928.1 Operationalproceduresand

responsibilities

操作程序和责任Documentedoperatingprocedures文件化操作程序Operationalchangecontrol运营变化控制Incidentmanagementprocedure事故管理程序Segregationofduties责任分离Separationofdevelopmentandoperationalfacilities开发与运营设备分离Externalfacilitiesmanagement外部设备管理8.1 Operationalproceduresand938.2 Systemplanningandacceptance

系统计划和接收Capacityplanning容量计划Systemacceptance系统接受

201920198.2 Systemplanningandaccept948.3 Protectionagainstmalicioussoftware

恶意软件防护Controlsagainstmalicioussoftware对恶意软件的控制8.3 Protectionagainstmalicio958.4 Housekeeping内务管理Informationback-up信息备份Operatorlogs操作日志Faultlogging错误日志8.4 Housekeeping内务管理Informati968.5 Networkmanagement网络管理Networkcontrols网络控制8.5 Networkmanagement网络管理Netw978.6 Mediahandlingandsecurity

媒体处理和安全Managementofremovablecomputermedia可移动计算机媒体（介质）的管理Disposalofmedia媒体（介质）处置Informationhandlingprocedures信息处理程序Securityofsystemdocumentation系统文件安全8.6 Mediahandlingandsecurit988.7 Exchangesofinformationandsoftware

软件和信息交换Informationandsoftwareexchange信息和软件交换Securityofmediaintransit媒体转换的安全Electroniccommercesecurity电子商务安全Securityofelectronicmail电子邮件的安全Securityofelectronicofficesystems电子办公系统的安全Publiclyavailablesystems公用系统Otherformsofinformationexchange其他形式的信息交换8.7 Exchangesofinformationa999.Accesscontrol访问控制9.1 Businessrequirementsforaccesscontrol访问控制的业务要求9.2 Useraccessmanagement使用者访问管理9.3 Userresponsibilities使用者责任9.4 Networkaccesscontrol网络访问控制9.5 Operatingsystemaccesscontrol操作系统访问控制9.6 Applicationaccesscontrol应用访问控制9.7 Monitoringsystemaccessanduse监控系统访问和使用9.8 Mobilecomputingandteleworking可移动计算设备和网络9.Accesscontrol访问控制9.1 Bus1009.1 Businessrequirementsforaccesscontrol

控制访问的业务要求Accesscontrolpolicy访问控制策略Youarenotauthorisedtoaccessthissystem9.1 Businessrequirementsfor1019.2 Useraccessmanagement

使用者访问管理Userregistration使用者注册Privilegemanagement特权管理Userpasswordmanagement使用者口令管理Reviewofuseraccessrights评审使用者访问权SystemAdministratorMenu9.2 Useraccessmanagement

使用者1029.3 Userresponsibilities使用者责任Passworduse口令使用Unattendeduserequipment无人照管的设备9.3 Userresponsibilities使用者责任1039.4 Networkaccesscontrol网络访问控制Policyonuseofnetworkservices使用网络服务的策略Enforcedpath强制路径Userauthenticationforexternalconnections外部连接者身份认证Nodeauthentication结点认证Remotediagnosticportprotection远程诊断端口的防护Segregationinnetworks网络分离Networkconnectioncontrol网络连接控制

Networkroutingcontrol网络路由控制Securityofnetworkservices网络服务的安全9.4 Networkaccesscontrol网络访1049.5 Operatingsystemaccesscontrol

操作系统访问控制

Automaticterminalidentification自动终端识别Terminallog-inprocedures终端连网程序Useridentificationandauthentication使用者识别和认证Passwordmanagementsystem口令管理系统Useofsystemfacilities系统设施的使用Duressalarmtosafeguardusers安全装置使用者强制警报Terminaltime-out终端暂停Limitationofconnectiontime连接时间限制9.5 Operatingsystemaccessco1059.6 Applicationaccesscontrol

应用访问控制Informationaccessrestriction信息访问限制Sensitivesystemisolation敏感系统隔离9.6 Applicationaccesscontrol1069.7 Monitoringsystemaccessanduse

监控系统访问和使用Eventlogging事件日志Monitoringsystemuse监控系统使用Clocksynchronisation时钟同步14:279.7 Monitoringsystemaccessa1079.8 Mobilecomputingandteleworking

可移动计算设备和网络通信Mobilecomputing移动计算设备Teleworking网络通信9.8 Mobilecomputingandtelew10810.Systemsdevelopmentandmaintenance

系统开发和维护10.1 Securityrequirementsofsystems系统的安全要求10.2 Securityinapplicationsystems应用系统安全10.3 Cryptographiccontrols密码控制10.4 Securityofsystemfiles系统文件的安全10.5 Securityindevelopmentandsupportprocesses 开发和支持过程的安全10.Systemsdevelopmentandma10910.1 Securityrequirementsofsystems

系统的安全要求Securityrequirementsanalysisandspecification安全要求分析和说明Specification;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8Jo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhfuuhiuyrhqe wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiO[popo[po[po;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8iouo;iu;oiruoiJo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhf;ij;oirj;qiruqoriqur;uuhiuyrhqeii;io;iu wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiuoiuoiiouoiu;oiu;o9iuO[popo[po[pou;oiBusinessCase;oiu;u;p’pjoiu;oiuiu;iou;oiu;oiuoipoipo#po#po#[po#[po[po#[po[pophnjiHhhuhiuhiuyhuy8iouo;iu;oiruoiJo’oiiuyfuytdyiuy;9uyouo;iuij;oij;Ijijweifjerhf;ij;oirj;qiruqoriqur;uuhiuyrhqeii;io;iu wu24i5yiufu24O#popo[po[ppo[po#[o#o#o#[o#o#o#hilugiuiugiuoiuoiiouoiu;oiu;o9iuO[popo[po[pou;oiSecurityRequirements10.1 Securityrequirementsof11010.2 Securityinapplicationsystems

应用系统安全Inputdatavalidation输入数据验证Controlofinternalprocessing内部处理控制Messageauthentication消息认证Outputdatavalidation输出数据验证10.2 Securityinapplications11110.3 Cryptographiccontrols

密码控制Policyonuseofcryptographiccontrols使用密码控制策略Encryption加密Digitalsignatures数字签名Non-repudiationservices不可否认服务Keymanagement密钥管理.”£7ngtsua64dgsConfidential10.3 Cryptographiccontrols

密码11210.4 Securityofsystemfiles

系统文件安全Controlofoperationalsoftware操作系统软件的控制Protectionofsystemtestdata保护系统测试数据Accesscontroltoprogramsourcelibrary程序资源库的访问控制10.4 Securityofsystemfiles

11310.5 Securityindevelopmentandsupport processes

开发和支持过程的安全Changecontrolprocedures变化控制程序Technicalreviewofoperatingsystemchanges操作系统变化的技术评审Restrictionsonchangestosoftwarepackages软件包变化的限制CovertchannelsandTrojancode隐蔽通道和特洛伊代码Outsourcedsoftwaredevelopment外包的软件开发10.5 Securityindevelopmenta11411.Businesscontinuitymanagement

业务连续性管理11.1 Aspectsofbusinesscontinuitymanagement业务连续性管理的各方面11.Businesscontinuitymanage11511.1 Aspectsofbusinesscontinuitymanagement

业务连续性管理的各方面Businesscontinuitymanagementprocess业务连续性管理过程Businesscontinuityandimpactanalysis业务连续性和影响分析Writingandimplementingcontinuityplans书写和实施连续性计划Businesscontinuityplanningframework业务连续性框架Testing,maintainingandre-assessingbusinesscontinuityplans测试，维护和重新评审业务连续性计划11.1 Aspectsofbusinessconti11612.Compliance

符合12.1 Compliancewithlegalrequirements 符合法律要求12.2 Reviewsofsecuritypolicyandtechnicalcompliance

评审安全方针和技术符合12.3 Systemauditconsiderations

系统审核考虑12.Compliance

符合12.1 Complian11712.1 Compliancewithlegalrequirements

符合法律要求Identificationofapplicablelegislation识别适应的法律Intellectualpropertyrights(IPR)知识产权Safeguardingoforganisationalrecords保护组织记录Dataprotectionandprivacyofpersonalinformation数据保护和个人信息隐私Preventionofmisuseofinformationprocessingfacilities错误使用信息的防护Regulationofcryptographiccontrols密码控制的法规Collectionofevidence收集证据12.1 Compliancewithlegalreq11812.2 Reviewsofsecuritypolicyandtechnical compliance

评审安全方针和技术符合Compliancewithsecuritypolicy符合安全方针Technicalcompliancechecking技术符合检查12.2 Reviewsofsecuritypolic11912.3 Systemauditconsiderations

系统审核考虑Systemauditcontrols系统审核控制Protectionofsystemaudittools系统审核工具的防护12.3 Systemauditconsideratio120PartIV如何获得7799认证?BS7799-2:2019PartIV如何获得7799认证?BS7799-2:2121为什么要寻求7799认证贯穿完整供应链的安全信息机制增强企业竞争力降低面临诉讼的风险拓广商机触角加强运营有效性事件与资源的更有效运用提升客户满意度减少企业危机增加员工参与感增加营业利润降低成本为什么要寻求7799认证贯穿完整供应链的安全信息机制提升客户1227799注册过程

询问申请预评估文档审核初始评估认证持续评估三年后重审7799注册过程询问1237799认证的对象ISMSInformationSecurityManagementSystem信息安全管理系统7799认证的对象ISMS124用PDCA模型实现ISMS用PDCA模型实现ISMS125ISMS的要求建立和管理ISMS建立ISMS实现和运作ISMS监控和审核ISMS维护和改进ISMS文档要求通用文档的控制文档的记录ISMS的要求建立和管理ISMS126建立ISMS定义ISMS的范围定义ISMS的策略确定一个系统化的风险评估方法鉴别风险评估风险鉴别和评价处理风险的各种选择选择应对风险的控制目标和控制（对应7799中的内容）准备一个SOA(statementofApplicability)适应性声明获得管理层的批准（对残余风险的认可和ISMS运行的许可）建立ISMS定义ISMS的范围127如何评估通用评估方法内部审计和相关工具漏洞扫描工具体系架构方面的分析业务流程分析网络架构缝隙信息系统层次结构缝隙安全需求分析树分析事件树分析故障树分析：实效模式和后果分析(FMEA)渗透测试…如何评估通用评估方法128安氏安全风险评估流程信息资产列表安全弱点的评估安全威胁的评估现有安全措施列表风险量化和评级风险的处置和接受设计安全措施安氏安全风险评估流程信息资产列表129信息资产分类信息资产分类130信息资产赋值机密性、完整性和可用性的价值分别赋值信息资产赋值机密性、完整性和可用性的价值分别赋值131安全弱点的评估弱点和资产紧密相连，它可能被威胁利用、引起资产损失或破坏。

安全弱点的评估弱点和资产紧密相连，它可能被威胁利用、引起资产132安全弱点获取的手段安全策略文档分析安全审计工具扫描(网络、系统、数据库)白客渗透测试顾问访谈人工分析安全弱点获取的手段安全策略文档分析133弱点评估工具选择不增加网络负载直观、易懂的评估报告全面的漏洞检测广泛的平台覆盖率选择业界最先进的ISSScanner系列(Internet,System和DatabaseScanner)弱点评估工具选择不增加网络负载选择业界最先进的ISSSca134威胁来源分类：非授权故意行为人为错误软件、设备、线路故障不可抗力安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件安全威胁的评估威胁来源分类：安全威胁是一种对系统、组织及其资产构成潜在破坏135威胁的属性--可能性Likelihood威胁的属性--可能性Likelihood136威胁的属性—严重性Impact威胁的属性—严重性Impact137IDS取样白客渗透测试顾问访谈人工分析安全策略文档分析安全审计安全威胁获取的手段IDS取样安全威胁获取的手段138现有安全措施界定在弱点和威胁评估时充分考虑现有安全措施及强弱程度对其影响。安全技术措施安全控制手段有效的安全服务安全策略现有安全措施界定在弱点和威胁评估时充分考虑现有安139风险的计算风险值=资产价值X威胁值X弱点值

（此处弱点和威胁值已经考虑现有安全措施对其影响）风险的计算风险值=资产价值X威胁值X弱点值140风险控制措施风险控制措施141选择控制

－按照可能功能分类防止Prevent保护Protect检测Detect响应和纠正Responseandamendment恢复Restoreandrecover监控和审计Monitorandaudit…选择控制

－按照可能功能分类防止Prevent142选择控制

－按照可能的策略分类避免——完全消除风险降低——减小可能性，降低影响接受——承担一些风险转嫁——责任外包，保险回避——消极地退却（有时可行）威慑——通过报复或者追究责任的方式选择控制

－按照可能的策略分类避免——完全消除风险143适应性声明SOASOA描述机构要实现的控制目标和控制。对应不选的控制要给予说明。SOA是一个文档，描述机构是如何控制风险的。因此，SOA不能过于详细以免给机构的安全造成损害。SOA是证书的附件。也可以作为单独的文档提供给需要的外部机构和伙伴。 适应性声明SOASOA描述机构要实现的控制目标和控制。对应不144总结PartI什么是信息安全？PartII什么是风险和风险管理PartIII什么是7799？PartIV如何获得7799认证？总结PartI什么是信息安全？145ENDEND146信息安全和风险管理

－7799标准与实施信息安全和风险管理

－7799标准与实施147概述PartI什么是信息安全？PartII什么是风险和风险管理PartIII什么是7799？PartIV如何获得7799认证？概述PartI什么是信息安全？148PartI

什么是信息安全PartI

什么是信息安全1491-1看待信息安全的各种思路需求状态结果功能过程能力1-1看待信息安全的各种思路需求150对信息安全的各种思路需求信息系统乃至信息化社会的需要状态对应于信息不安全。难于描述。结果对应于人们的努力。表面看只有两个结果：出事和不出事。对信息安全的各种思路需求151对信息安全的各种思路功能应用和实现的各种安全功能（产品）。比如：访问控制（防火墙）、审计跟踪（IDS）等过程对应于人们努力的内容和时间。能力对应于努力的综合实力对信息安全的各种思路功能152信息安全的三个方面需求保密性——信息的机密性完整性——信息的完整性、一致性可用性——行为完整性、服务连续性信息安全的经典定义

－需求角度信息安全的三个方面需求信息安全的经典定义

－需求角度153安全需求的多样性6项安全要求CIARAA(ISO13335)保密性Confidentiality完整性Integrity可用性Availability可靠性Reliability认证性Authenticity审计性Accountability安全需求的多样性6项安全要求CIARAA(ISO13335154信息安全需求的演变？信息保密信息保密信息完整信息和系统可用信息保密信息完整信息和系统可用信息和系统可控信息行为不可否认80年代的认识90年代的认识90年代后期的认识信息安全需求的演变？信息保密信息保密信息完整信息和系统可用信155最权威的传统评估标准美国国防部在1985年公布可信计算机安全评估准则TrustedComputerSecurityEvaluationCriteria(TCSEC)为安全产品的测评提供准则和方法指导信息安全产品的制造和应用最权威的传统评估标准美国国防部在1985年公布156可信计算机系统安全等级可信计算机系统安全等级157传统评估标准的演变美国DoD85TESECTCSEC网络解释（TNI1987）TCSEC数据库管理系统解释（TDI1991）欧洲–ITSEC美国、加拿大、欧洲等共同发起CommonCriteria(CC)传统评估标准的演变美国158ReferenceMonitorReferenceMonitor主体客体控制规则ReferenceMonitorReference主体客体159主要传统安全技术操作系统访问控制网络访问控制（防火墙）加密（对称、非对称）身份认证（口令、强认证……）……主要传统安全技术操作系统访问控制160VRMTCSEC认为，一个安全机制的三个基本要求：不可旁路不可篡改足够小，可以被证明VRMTCSEC认为，一个安全机制的三个基本要求：161RM传统安全理念和技术的局限适合于主机/终端环境，对网络环境难于适应系统和技术的发展太快，安全技术跟进困难没有研究入侵者的特点和技术……ReferenceMonitor主体客体控制规则RM传统安全理念和技术的局限适合于主机/终端环境，对网络环境162UNIXFirewallE-MailServerWebServerRouterNTClients&WorkstationsNetworkUNIXNTUNIXimapCrackNetBus典型的攻击过程UNIXE-MailServerWebServerRou1631-3P2DR安全模型动态安全模型可适应网络安全模型1-3P2DR安全模型动态安全模型164P2DR安全模型动态/可适应安全的典范P2DR安全模型动态/可适应安全的典范165什么是安全？新的定义什么是安全？新的定义166安全——及时的检测和处理时间PtDtRt安全——及时的检测和处理时间PtDtRt167什么是安全？PtDtRt>+什么是安全？PtDtRt>+168P2DR安全模型动态模型基于时间的模型可以量化可以计算P2DR安全模型动态模型169P2DR的核心问题是检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实、强制执行安全策略的有力工具最重要的检测技术漏洞扫描入侵检测IDSP2DR安全的核心安全策略防护

检测响应P2DR的核心问题是检测P2DR安全的核心安全防护170PDR理念的不足缺少管理环节的描述和表达因此，才有Policy环节的引入实用的时间很难测量时间计算的算法非常复杂和不确定PDR理念的不足缺少管理环节的描述和表达171PDR的时间计算目标起点Pt(A)Pt(B)Pt(C)Pt(D)Pt(System)=Pt(A)+Pt(B)+Pt(C)+Pt(D)PDR的时间计算目标起点Pt(A)Pt(B)Pt(C)Pt(172PDR的时间计算目标起点Pt(System)=Minimum(Pt(Ra),Pt(Rb),Pt(Rc),Pt(Rd),Pt(Re))RaRbRcRdRePDR的时间计算目标起点Pt(System)=Minimum173PDR的时间计算目标起点Pt(System)=?新的攻击手法PDR的时间计算目标起点Pt(System)=?新的攻击手法174PDR的时间计算目标起点新的攻击手法PDR的时间计算目标起点新的攻击手法1751-4我们应当期待什么效果？1-4我们应当期待什么效果？176目前普遍应用的信息安全技术访问控制操作系统访问控制网络防火墙病毒防火墙审计跟踪IDS漏洞扫描日志分析加密存储和备份鉴别和认证PKI和CA双因子认证生物认证……目前普遍应用的信息安全技术访问控制加密177信息安全问题的难点超复杂性牵扯很多技术环节涉及大量的管理问题涉及人的因素……工程方法信息安全问题的难点超复杂性工程方法178最成熟的“工程”方法风险管理风险评估风险控制和监控信息安全管理系统ISMS管理驱动技术最成熟的“工程”方法风险管理179PartII

什么是风险和风险管理PartII

什么是风险和风险管理180什么是风险？风险：对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。Risk thechanceofsomethinghappeningthatwillhaveanimpactuponobjectives.Itismeasuredintermsofconsequencesandlikelihood.-AS/NZS4360:2019《风险管理》什么是风险？风险：181什么是风险风险：指定的威胁利用单一或一群资产的脆弱点造成资产的损失或损坏的潜在的可能性。Risk:thepotentialthatagiventhreatwillexploitvulnerabilitiesofanassetorgroupofassetstocauselossordamagetotheassets.-ISO/IECTR13335-1:2019什么是风险风险：指定的威胁利用单一或一群资产的脆弱点造成资产182ISO15408安全模型ISO/IEC15408-1安全概念和关系模型所有者威胁主体对策